Apteki a ochrona danych osobowych


W związku z kontrowersjami powstałymi wskutek swoistej wymiany poglądów między Głównym Inspektorem Farmaceutycznym a Generalnym Inspektorem Ochrony Danych Osobowych (np. pismo GIF-P-L-076/59/SzP/16 lub pismo GIODO SIS-K-421/137/15) dotyczącej programów służących do odnotowywania zakupionych leków przez konkretnych pacjentów, czy też  próby uzyskania przez Urzędy Kontroli Skarbowej kopii recept (np. UKS w Zielonej Górze), zauważyć należy iż problematyka ochrony danych osobowych w szeroko rozumianej branży farmaceutycznej (np. koncerny farmaceutyczne, apteki, hurtownie) nadal nie jest dla podmiotów prowadzących apteki zrozumiała. Zwrócić uwagę należy również na fakt, iż aptekarz, który ujawnił dane objęte tajemnicą lekarską (np. osobowe dane osobowe na receptach) podlega odpowiedzialności dyscyplinarnej do pozbawienia prawa do wykonywania zawodu włącznie, co może skutkować utratą zezwolenia na prowadzenie apteki. O ile bowiem GIODO już dawno przesądziło, iż w zakresie przetwarzania danych związanych z realizacją recept apteki zwolnione są z obowiązku zgłoszenia do rejestracji GIODO zbioru danych osobowych dotyczących tego działania, to powyższe zwolnienie nie dotyczy obowiązku rejestracji innych zbiorów danych osobowych ani nie przekreśla innych obowiązków aptek jako administratorów danych osobowych. Tytułem przypomnienia, każdy administrator danych osobowych (w tym również podmiot prowadzący aptekę) przetwarza dane osobowe np. swoich pracowników, kontrahentów, dane zawarte w przychodzącej i wychodzącej korespondencji, klientów (w zakresie wykraczającym poza realizację recept tj. np. klientów kupujących/reklamujących  inne produkty np. za pośrednictwem sklepów internetowych lub zamawiających konkretny produkt telefonicznie – o ile podają oni dane osobowe konieczne np. do odbioru produktu – adres dostawy, imię nazwisko, telefon), prowadzi książkę kontroli. Powyższe wyliczenie jest przykładowe, poszczególne apteki mogą przetwarzać dane w innych zbiorach danych osobowych.

W zależności od tego jakie rozwiązania organizacyjne zostały przyjęte w aptece np. czy wyznaczono Administratora Bezpieczeństwa Informacji czy nie, poszczególne zbiory mogą podlegać obowiązkowi zgłoszenia do rejestracji w GIODO.

Każdy administrator danych osobowych  powinien opracować i wdrożyć do stosowania dokumentację ochrony danych osobowych: Politykę bezpieczeństwa danych osobowych, Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, upoważnienia do przetwarzania danych osobowych, ewidencję osób upoważnionych do przetwarzania danych osobowych. W zależności od tego czy wyznaczono Administratora Bezpieczeństwa Informacji czy nie, mogą również być wymagane dodatkowe dokumenty.

Rozumiejąc, iż powyższe zagadnienia mogą być skomplikowane służymy pomocą w ustaleniu jakie rozwiązanie jest najkorzystniejsze dla Państwa, pomagamy przygotować odpowiednie procedury i, o ile jest to wymagane, wnioski rejestracyjne do GIODO.

Andrzej Grzeszczuk

Prawnik

tel. kom. 509 720 666

email: a.grzeszczuk@polguard.pl